Freigeben über

Verknüpfen von Warnungen mit einem anderen Incident im Microsoft Defender-Portal

  • Artikel
  • Gilt für::
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Obwohl Microsoft Defender bereits erweiterte Korrelationsmechanismen verwendet, möchten Sie möglicherweise anders entscheiden, ob eine bestimmte Warnung zu einem bestimmten Incident gehört oder nicht. In einem solchen Fall können Sie die Verknüpfung einer Warnung mit einem Incident aufheben und mit einem anderen verknüpfen. Jede Warnung muss zu einem Incident gehören. Daher müssen Sie die Warnung entweder mit einem anderen vorhandenen Vorfall oder einem neuen Incident verknüpfen, den Sie vor Ort erstellen.

In diesem Artikel wird erläutert, wie Sie die Verknüpfung von Warnungen eines Incidents aufheben und mit einem anderen verknüpfen.

Voraussetzungen

  • Benutzer müssen über Berechtigungen zum Anzeigen der Incidentwarteschlange verfügen.
  • Benutzer müssen über Lese- und Schreibberechtigungen für alle Warnungen verfügen, die sie zwischen Incidents verschieben möchten.

Es gibt viele Möglichkeiten, um zu diesem Panel zu gelangen. Sie können von überall aus darauf zugreifen, wo Sie Warnungen auswählen oder Maßnahmen ergreifen können. Zum Beispiel:

Wählen Sie an einer der folgenden Speicherorte eine oder mehrere Warnungen aus, indem Sie die Kontrollkästchen am Anfang ihrer Zeilen markieren. Wenn eine oder mehrere Warnungen markiert sind, wird auf der Symbolleiste die Schaltfläche Warnungen mit einem anderen Incident verknüpfen angezeigt.

  • Die Incidents-Warteschlange . Erweitern Sie einen bestimmten Incident, um die darin enthaltenen Warnungen anzuzeigen.
  • Die Registerkarte Warnungen auf der Seite mit den Incidentdetails.
  • Die Warnungswarteschlange .

Außerdem wird im Detailbereich auf einer Warnungsdetailseite immer die Schaltfläche Warnungen mit einem anderen Incident verknüpfen angezeigt.

  1. Öffnen Sie einen der im vorherigen Abschnitt erwähnten Speicherorte.

  2. Wählen Sie die Warnungen aus, die Sie verschieben möchten, indem Sie die Kontrollkästchen am Anfang ihrer Zeilen in der Warteschlange aktivieren. Wenn eine oder mehrere Warnungen markiert sind, wird auf der Symbolleiste die Schaltfläche Warnungen mit einem anderen Incident verknüpfen angezeigt.

    Screenshot: Auswählen von Warnungen aus der Warteschlange, um zu einem anderen Incident zu wechseln

  3. Wählen Sie auf der Symbolleiste Warnungen mit einem anderen Incident verknüpfen aus. Ein Flyoutbereich wird geöffnet. Wenn Sie nur eine Warnung ausgewählt haben, wird der Bereich Mit einem anderen Incident verknüpfen bezeichnet. Wenn Sie zwei oder mehr Warnungen ausgewählt haben, lautet die Bezeichnung Mehrere Warnungen mit einem anderen Incident verknüpfen. In allen anderen Aspekten ist es das gleiche Panel.

  4. Wenn die Warnungen zu einem anderen vorhandenen Incident gehören, wählen Sie Mit einem vorhandenen Incident verknüpfen aus. Wählen Sie andernfalls Neuen Incident erstellen aus. Warnungen müssen zu einem Incident gehören.

  1. Wenn Sie Link zu einem vorhandenen Incident ausgewählt haben, wird unmittelbar nach der Auswahl ein neues Textfeld, der Incidentname oder die ID angezeigt. Beginnen Sie mit der Eingabe des Namens oder der ID des Incidents, mit dem Sie die Warnungen verknüpfen möchten. Während der Eingabe wird die Liste der verfügbaren Incidents dynamisch angezeigt und nach Ihrer Eingabe gefiltert. Wenn sie in der Liste angezeigt wird, wählen Sie sie aus.

    Screenshot: Auswählen eines vorhandenen Incidents, in den eine Warnung verschoben werden soll

  2. Geben Sie im Feld Kommentar einen Kommentar ein, der erklärt, warum Sie die Warnungen verschieben möchten.

    Screenshot: Hinzufügen eines Kommentars, der erklärt, warum eine Warnung verschoben wird

  3. Wählen Sie unten im Bereich Speichern aus, um die Verschiebung auszuführen.

  1. Wenn Sie Neuen Incident erstellen ausgewählt haben, müssen Sie lediglich einen Kommentar eingeben, in dem erläutert wird, warum Sie die Warnungen verschieben möchten.

  2. Wählen Sie unten im Bereich Speichern aus, um die Verschiebung auszuführen.

    Screenshot: Auswählen eines neuen Incidents, in den eine Warnung verschoben werden soll

    Wenn der Prozess abgeschlossen ist, wird ein neuer Incident mit der Warnung oder den Warnungen erstellt, in die Sie verschoben haben. Der Incident erhält automatisch einen Namen, der auf dem Namen der Warnung oder warnungen basiert.

Aktivitätsprotokoll

Wenn eine Warnung mit einem Incident korreliert wird, wird eine Nachricht in das Aktivitätsprotokoll des Incidents geschrieben, die bestätigt, dass die Warnung mit diesem korreliert wurde. Diese Nachricht wird in einer der folgenden Situationen geschrieben:

  • Eine Warnung wird erstellt und automatisch mit einem neuen oder vorhandenen Incident korreliert.
  • Eine Warnung wird von einem Incident getrennt und mit einem anderen verknüpft. Die Meldung wird im Protokoll des Zielvorfalls angezeigt.

Siehe auch